【ASP.NET】——SQL注入

最新推荐文章于 2024-06-17 08:54:18 发布
最新推荐文章于 2024-06-17 08:54:18 发布
阅读量2.6k 收藏
点赞数 2
分类专栏: 【成长史】 ----------ASP.NET 文章标签: SQL 安全漏洞 数据库 sql注入 黑客
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/onlybymyself/article/details/46482715
版权


    关于SQL注入,师父给验收项目的时候就提过。但一直也没深入去想是怎么回事~~在学ASP.NET,做新闻发布系统的时候,又遇到了,这次不能放过了~~


定义

    所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.——百度百科


实验

    系统中增加新闻类别SQL语句:

insert intocategoryinfo(name)values ('" + caName + "')

    当我们在界面输入:娱乐八卦,点击增加新闻类别时


    娱乐八卦将替换" + caName + "而执行。

    于是,当我们在文本框中输入:

    娱乐新闻')delete categoryinfo where id=13--

    这段替换了" + caName + "会形成:

      insert into categoryinfo(name)values ('娱乐新闻')delete categoryinfo where id=4--')";

    相当于:

    insert into categoryinfo(name)values ('娱乐新闻');

    delete categoryinfo where id=4--')";

    于是执行后前后对比效果为:

前:                            后:

    


    这就是SQL注入的一种效果。通过这种方法,将我们的数据库进行了破坏。通过SQL注入,是黑客得到数据库内部信息的一种方法,为了咱们系统的安全性,我们需要做好防护。

如何避免:

    对于上面的这种SQL注入,有效的方法就是:用传参进行SQL语句,不用拼接字符串。

传字符串语句: 
 public int test()        {
            int res;
            using (cmd = new SqlCommand("insert into categoryinfo(name)values (@caName)",GetConn()))
            {
                cmd.Parameters .Add(new SqlParameter ("@caName","SQL注入成功"));

                res = cmd.ExecuteNonQuery();
            }
            return res;
        }

改为传参: 
 public int test()        {
            int res;
            using (cmd = new SqlCommand("insert into categoryinfo(name)values (@caName)",GetConn()))
            {
                cmd.Parameters.Add(new SqlParameter("@caName", "'娱乐新闻')delete categoryinfo where id=4--"));//SQL注入失败

                res = cmd.ExecuteNonQuery();
            }
            return res;
        }

    这只是一种避免方法。

    那平时我们需要做哪些防护呢:

    1.限制用户非正确格式输入。

    2.对特殊字符进行转换。即“’”在SQL语句运行时,已不再是“‘”,可能是一个数字,这样就不会再对SQL语句造成混乱。

    3.报错时,尽可能减少信息量。最好将错误信息进行包装。因为专业人可以根据报的黄页分析出库里有哪些表等信息......

    4.将重要信息进行加密。以免轻易泄露。

    5.不用拼接字符串...
    ......


    这是我所能想到的一些特别基础的预防方法~肯定还有更高级的手段。这还需要我们继续探索!
    




非本人文章
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 23
    评论
专栏目录
asp.net Sql注入
yufangfang3111的专栏
10-10 1106
什么是sql注入 用一个最简单的例子说明,数据库中有一个表,user_table, CREATE TABLE user_table( id INTEGER PRIMARYKEY, username VARCHAR(32), password VARCHAR(41) ); 对一个用户进行认证,实际上就是将用户的输入即用户名和口令跟表中的各行进行比较,如果跟某行中的用户名和口令跟
ASP.NETSQL注入攻击与预防 使用SQLServer
wf824284257的博客
02-05 1774
前言 本文通过一个以用户登录为例的示例项目,讲述了SQL注入攻击与预防。 示例项目使用了VS2017与SqlServer2008r2,采用WebAPI的架构。 下面让我们从头开始。 开始 Step.1 新建数据库表 在Test数据库下新建users表,含有3个字段(id,uid,pwd). 并添加一条数据。 Step.2 新建ASP.NET项目 打开 VS2017,选择【文件】->【新建...
ASP.NET防范SQL注入式攻击的方法
01-02
一、什么是SQL注入式攻击?  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:    ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。    ⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数。下面是ASP.NET应用构造查询的一个例子:   System
.NET 漏洞情报 | 某整合管理平台SQL注入
最新发布
ahhacker86的专栏
06-17 613
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
ASP.NET SQL 注入解决方案
何足道也
10-17 1055
一个过滤类: /// ///SqlInject 的摘要说明 /// public class SqlInject : System.Web.UI.Page { //检测到注入后的处理方式: 0:仅警告;1:警告+记录;2:警告+自定义错误页面;3:警告+记录+自定义错误页面 private const int _type = 0; private
ASP.NET 实现SQL注入过滤
10-25 3336
一、什么是SQL注入式攻击             所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:         ⑴ 某个ASP.NET Web应用
asp.net request防sql注入_安全漏洞大揭秘:手把手教你轻松防止SQL注入
weixin_39906878的博客
11-16 590
安全漏洞大揭秘:手把手教你轻松防止SQL注入SQL(结构化查询语言)注入是众所周知的软件弱点和安全漏洞,如果不是的话,也是最出名的漏洞之一。尽管享有盛名,但如何防止SQL注入仍然是主要漏洞之一,并且攻击持续增长。查找SQL注入根据OWASP Top 10,注入漏洞(其中SQL注入是其中一种)是Web应用程序安全性的头号问题。SQL注入在CWE Top 25中排名第六。其他类型的安全漏洞示例包括:...
ASP.NET源码——通用防SQL注入漏洞程序(Global.asax方式).zip
10-10
这个压缩包提供的源码是针对ASP.NET应用的通用防SQL注入漏洞程序,通过Global.asax文件来实现。 SQL注入是一种常见的网络安全攻击手段,攻击者通过输入恶意的SQL代码,试图获取、修改或删除数据库中的敏感信息。在...
asp.net下检测SQL注入式攻击代码
10-29
本文将详细分析ASP.NET中的一个用于防止SQL注入攻击的实用工具——`PageValidate`类,并深入探讨其工作原理和实际应用。 #### PageValidate 类详解 `PageValidate` 类包含了一系列用于验证和清理用户输入的方法,...
ASP.NET源码——开源WEB在线SQL管理工具.zip
10-10
这个压缩包"ASP.NET源码——开源WEB在线SQL管理工具.zip"包含了一个基于ASP.NET的开源项目,允许用户通过Web界面进行SQL数据库的在线管理和操作。这样的工具对于开发者和DBA来说非常实用,因为它提供了远程访问和...
ASP.NET源码——WEB SQL数据库管理工具.zip
10-10
8. **安全性**:确保数据库操作的安全性,防止SQL注入攻击,可能使用参数化查询或存储过程来封装用户输入。 9. **用户界面设计**:使用HTML、CSS和JavaScript创建用户友好的界面,使数据库管理变得直观易用。 10. ...
asp.netSQL注入(非常简洁)
07-05
protected void Application_BeginRequest(object sender, EventArgs e) { //遍历Post参数,隐藏域除外 foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.goErr(this.Request.Form[i].ToString()); } //遍历Get参数。 foreach (string i in this.Request.QueryString) { this.goErr(this.Request.QueryString[i].ToString()); } } private void goErr(string tm) { if (SqlFilter2(tm)) { Response.Write("无效的提交!"); Response.End(); } } public static bool SqlFilter2(string InText) { string word = "and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join"; if (InText == null) return false; foreach (string i in word.Split('|')) { if ((InText.ToLower().IndexOf(i + " ") > -1) || (InText.ToLower().IndexOf(" " + i) > -1)) { return true; } } return false; }
最新ASP通用防SQL注入代码
10-13
这是经过整理和测试的,最新ASP通用防SQL注入代码。 很简洁也很好用.和大家分享.
利用SQL注入漏洞登录后台
03-27
通过介绍SQL Injection的基本原理,讲解如何防范SQL Injection。通过一些程序源码对SQL的攻击进行了细致分析,使我们对SQL Injection机理有了一个深入认识,作为一名Web应用开发人员,一定不要盲目相信用户的输入,而要对用户输入的数据进行严格的校验处理,否则的话,SQL Injection将会不期而至。
Asp.net SQL注入实例分享
每一天都有新的希望
10-10 8144
Asp.net SQL注入实例分享
ASP.NET Core中的OWASP Top 10 十大风险-SQL注入
weixin_30363981的博客
11-01 187
不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/2017/10/11/owasp-top-10-asp-net-core-sql-injection/ OWASP或者说是开放Web应用程序安全项目,这是一个非营利性的组织,其目的是促进安全的we...
ASP.NET 之 防SQL注入
weixin_30825199的博客
02-11 842
1. 什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到表单窗体递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行一些恶意的SQL命令。通过递交参数构造巧妙的SQL语句,从而成功获取想要的数据。 2. SQL注入的种类 从具体而言,SQL注入可分为五大类,分别是:数字型注入、字符型注入、搜索型注入(like)、in型的注入、句语连接型注入。 从应用来说,要...
asp中防止脚本注入攻击
wthorse的专栏
06-04 971
  SQL_injdata = "|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"  SQL_inj = split(SQL_Injdata,"|")  If Request.QueryString    For Each SQL_Get In Request.Query
SQL注入攻击
人生何适不艰难 赖是胸中万斛宽
06-03 1175
SQL注入攻击是黑客数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入SQL注入
评论 23
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值